GLSA 200511-06: fetchmail: Password exposure in fetchmailconf
| Опасность: | средняя |
| Заголовок: | fetchmail: Password exposure in fetchmailconf |
| Дата: | 06.11.2005 |
| Ошибки: | |
| ID: | 200511-06 |
Сводка
fetchmailconf fails to properly handle file permissions, temporarily exposing sensitive information to other local users.Назначение
fetchmail is a utility that retrieves and forwards mail from remote systems using IMAP, POP, and other protocols. It ships with fetchmailconf, a graphical utility used to create configuration files.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| net-mail/fetchmail | < 6.2.5.2-r1 | >= 6.2.5.2-r1 | All supported architectures |
Описание
Thomas Wolff discovered that fetchmailconf opens the configuration file with default permissions, writes the configuration to it, and only then restricts read permissions to the owner.
Воздействие
A local attacker could exploit the race condition to retrieve sensitive information like IMAP/POP passwords.
Обход
Run "umask 077" to temporarily strengthen default permissions, then run "fetchmailconf" from the same shell.
Решение
All fetchmail users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=net-mail/fetchmail-6.2.5.2-r1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.